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(54) MESSAGE AMELIORE ET PROCEDE CORRESPONDANT DE SYNCHRONISATION ET DE SECURISATION 
^ D'UN ECHANGE DE MESSAGES AMELIORES DANS UN SYSTEME DE RADIOCOMMUNICATION 
CELLULAIRE. 

(57) L'invention concerne une structure particuliere de 
message ameliore, ainsi qu'un procede de synchronisation 
et de securisation d'un echange de messages ameliores 
possedant cette structure. De fagon classique : un message 
ameliore est transmis par un centre de service de messa- 
ges vers un module d'identification d'abonne (ou module 
SIM) d'une station mobile. Le corps (2) de ce message 
ameliore contient notamment un premier champ (3) de 
stockage de commandes distantes appartenant a une ap- 
plication distante. 

Selon l'invention, ce corps (2) contient egalement un se- 
cond champ (4) de stockage de la valeur courante d'un 
compteur de synchronisation, destinee a etre comparee a 
une valeur precedence du compteur de synchronisation, 
stockee dans le module SIM. Toujours selon l'invention, le 
corps (2) peut contenir un autre champ (6) de stockage 
d'un certificat signature du corps : destine a prouver I'au- 
thenticite du message ameliore et I'identite de son emet- 
teur. Le message ameliore est accepte ou refuse par le 
module SIM en fonction de la coherence de ces valeurs 
avec Tetat interne du module SIM. 
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Message ameliore et procede correspondant de synchronisation et 
de securisation d*un echange de messages ameliores dans un systeme de 
radiocommunication cellulaire. 

Le domaine de F invention est celui des messages echanges dans les syst^mes de 
radiocommunication cellulaire. Generalement, ces messages sont echanges entre un 
centre de service de messages et une pluralite de stations mobiles. Chaque station mobile 
est constitute d'un terminal cooperant avec une carte utilisateur k microprocesseur, 
appelee module d' identification d'abonn£ (ou module SIM, pour "Subscriber Identity 
Module'' en langue anglaise). 

Plus precis^ment, F invention concerne une structure particuli^re de message 
ameliore, ainsi qu'un procede de synchronisation et de securisation d'un ^change de 
messages ameliores possedant cette structure. 

Dans le domaine de la radiocommunication cellulaire, on connait notamment, 
principalement en Europe, le standard GSM ("Groupe special Systdmes Mobiles publics 
de radiocommunication fonctionnant dans la bande des 900 Mhz"). 

L'invention s'applique notamment, mais non exclusivement, a un systeme selon 
ce standard GSM. 

D'une fagon generate, un terminal est un equipement physique utilise par un 
usager du reseau pour acceder aux services de telecommunication offerts. II existe 
differents types de terminaux, tels que notamment les portatifs, les portables ou encore 
les mobiles montes sur des vehicules. 

Quand un terminal est utilise par un usager, ce dernier doit connecter au terminal 
sa carte utilisateur (module SIM), qui se presente generalement sous la forme d'une carte 
a puce. 

La carte utilisateur supporte une application principale telephonique (par exemple 
F application GSM) qui permet son fonctionnement, ainsi que celui du terminal auquel elle 
est connectee, dans le systeme de radiocommunication cellulaire. Notamment, la carte 
utilisateur procure au terminal auquel elle est connectee un identifiant unique d'abonnd 
(ou identifiant EMSI, pour "International Mobile Subscriber Identity" en langue anglaise). 
Pour cela, la carte utilisateur inclut des moyens d'execution de commandes (par exemple, 
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un microprocesseur et une memoire programme) et des moyens de memorisation de 
donnees (par exemple une memoire de donnees). 

L* identifiant IMSI, ainsi que toutes les informations individuelles concernant 
Tabonne et destinees h etre utilisees par le terminal, sont stockees dans les moyens de 
memorisation de donnees du module SIM. Ceci permet h chaque terminal d'etre utilise 
avec n'importe quel module SIM. 

Dans certains systemes connus, et notamment dans un systeme GSM, il existe un 
service de messages (ou SMS, pour "Short Message Service" en langue anglaise) 
permettant V envoi de messages (dits "messages courts" dans le cas du GSM) vers les 
stations mobiles. Ces messages sont emis par un centre de service de messages (ou SMS- 
C, pour "SMS-Center" en langue anglaise). 

Lorsqu'une station mobile re^oit un message, elle le stocke dans les moyens de 
memorisation de donnees de son module SIM. L' application principale t616phonique de 
chaque module SIM permet de traiter chaque message re?u. 

A Torigine, 1'unique fonction d'un message etait de fournir une information k 
Tabonne, generalement via un ecran d'affichage du terminal. Les messages, dits 
messages normaux, qui remplissent cette unique fonction ne contiennent done que des 
donnees brutes. 

Par la suite, on a imagine un service de messages ameliores (ou ESMS, pour 
"Enhanced SMS" en langue anglaise), dans lequel deux types de messages peuvent etre 
envoyes, a savoir les messages normaux prdcites et des messages amdliores pouvant 
contenir des commandes. 

Ainsi, il a deja ete propose de transmettre h. un module SIM, via des messages 
ameliores, des commandes permettant de mettre a jour ou de reconfigurer ce module SIM 
a distance. En d'autres termes, des commandes encapsulees dans des messages am61ioi£s 
permettent de modifier T application principale telephonique du module SIM. Ceci permet 
done de reconfigurer le module SIM sans avoir a le ramener a un point de vente (et done 
de faire executer au module SIM des commandes administratives alors qu'elle est en 
phase applicative). 

On a egalement propose que le module SIM serve de support & d'autres 
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applications que l'application principale telephonique, telles que notamment des 
applications de location de voiture, de paiement ou encore de fidelite. 

Du fait que les commandes appartenant a ces autres applications sont contenues 
dans des messages ameliores, et done externes au module SIM, ces autres applications 
sont dites distantes ou OTA (pour "Over The Air" en langue anglaise). Par opposition, 
F application principale telephonique, dont les commandes sont contenues dans les 
moyens de memorisation de donnees du module SIM, est dite locale. Les commandes 
sont egalement dites locales ou distantes, selon que F application a laquelle elles 
appartiennent est elle-meme locale ou distante. 

Avec ces commandes distantes, on peut done executer des applications distantes 
(location, paiement, reconfiguration de l'application principale telephonique, ...). 

II est clair que ce recent concept d* application distante (ou application OTA) est 
tres avantageux pour Fabonne. En effet, ce dernier peut maintenant effectuer de faijon trfes 
simple, uniquement avec un terminal dans lequel est insert son module SIM, de 
nombreuses operations telles que par exemple la location d'une voiture ou le paiement 
d'un service. 

En d' autres termes, on fait faire au module SIM autre chose (e'est-^-dire 
essentiellement plus de commandes) que ce qu'il est normalement capable de faire une 
fois qu'il est en phase applicative, e'est-a-dire une fois qu'il est insere dans un t616phone 
mobile entre les mains d'un utilisateur. 

II decoule de cette augmentation de la capacite de travail du module SIM des 
exigences de securite particulieres. En effet, ce mecanisme, qui est en fait une porte 
d'entree supplemental dans le module SIM, ne doit pas permettre h n'importe qui 
d'effectuer dans le module SIM des actions qui lui sont normalement interdites. 

Parmi les exigences de securite particulieres liees a F utilisation des messages 
ameliores, on peut citer notamment la resynchronisation, Funicitd de chaque message, 
Fintegrite de chaque message et F authenticity de Fentite emettrice. 

II convient en effet de pouvoir resynchroniser la source des messages et le module 
SIM en cas de problemes de transmission sur le reseau. Du fait des aldas de transmission 
sur le canal des messages ameliores, ni Facheminement d'un message am£lior£ ni Fordre 
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d'acheminement de plusieurs messages ameliores ne peuvent en effet Stre garantis. 

L'exigence d'unicite de chaque message permet d'eviter le rejeu d'un message, 
que ce soit de fa?on accidentelle (le canal de transmission suivi par le message am£lior£ 
est en effet tel qu'il peut arriver qu'un meme message soit transmis plusieurs fois £ un 
module SIM), ou bien intentionnelle (c*est-&-dire frauduleuse, le but etant alors de faire 
effectuer plusieurs fois de suite au module SIM la meme sequence de commandes, 
comme par exemple celles qui permettraient de recruiter un compteur d' unites 
telephoniques prepayees dans le module SIM). 

L'exigence d'integrite de chaque message permet d'eviter la corruption d'un 
message, que ce soit de fa^on accidentelle (due egalement au canal de transmission entre 
le centre de service de messages et la station mobile), ou bien intentionnelle (le but £tant 
aiors de modifier un message pour lui faire effectuer d'autres actions, plus sensibles, que 
celles prevues par la source du message). 

L'exigence d' authenticity de Tentite emettrice permet de s'assurer que celle-ci est 
bien autorisee a envoyer des messages ameliores. En effet, ce mecanisme d* application 
distante doit etre reserve a des emetteurs particuliers (tels que notamment les op^rateurs et 
les fournisseurs de services). 

Or, il apparait que le recent concept d' application distante, tel qu'il est mis en 
oeuvre actuellement, ne repond pas a toutes ces exigences de securite particulteres. 

En effet, a ce jour, il a simplement ete propose d'introduire un total de contrdle 
(ou ^checksum" en langue anglaise) dans chaque message am61ior£, et d'effectuer une 
procedure de verification de type presentation de code secret avant d'ex^cuter les 
commandes distantes contenus dans le message ameiiore. 

II est clair que cette solution connue n'est pas satisfaisante car incomplete. 

Tout d'abord, Tutilisation d*un total de controle, qui est une solution relativement 
basique, permet uniquement de s'assurer que la transmission s'est effectu^e 
correctement. 

Par ailleurs, la procedure de verification de type presentation de code secret 
n' off re pas les garanties de securite suffisantes en cas d' interception d'un message 
ameiiore. En effet, V information d* identification ne variant pas d'un message h Tautre, il 
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est facile pour une personne non autorisee de rejouer un message, c'est-i-dire de faire 
passer pour authentique un message prealablement intercepts frauduleusement. 

Enfin, cette solution connue ne vise aucunement h satisfaire aux autres exigences 
precitees, a savoir notamment celles concernant la resynchronisation et Vint6grit6 des 

messages. 

L' invention a notamment pour objectif de pallier ces differents inconvSnients de 
Tetat de la technique. 

Plus precisement, Tun des objectifs de la presente invention est de fournir un 
procede de synchronisation et de securisation d'un echange de messages am<Hior€s, ainsi 
qu'une structure correspondante de message ameliore, qui permettent de resynchroniser 
la source des messages et le module SIM en cas de problemes de transmission sur le 

reseau. 

L 1 invention a egalement pour objectif de fournir un tel procedS et une telle 
structure de message ameliore qui assurent l'unicite de chaque message amelionS 
transmis. 

Un autre objectif de 1' invention est de fournir un tel procede et une telle structure 
de message ameliore qui assurent l'integrite de chaque message ameliore transmis. 

Un objectif complementaire de l'invention est de fournir un tel proc&te et une telle 
structure de message ameliore qui assurent Tauthenticite de l'entite 6mettrice des 
messages ameliores. 

Ces differents objectifs, ainsi que d'autres qui apparaitront par la suite, sont 
atteints selon l'invention a l'aide d'un message ameliore, du type transmis par un centre 
de service de messages vers une station mobile d'un systeme de radiocommunication 
cellulaire, ledit message ameliore comprenant un en-tete et un corps, ledit corps contenant 
notamment un premier champ de stockage de commandes distantes appartenant k une 
application distante de ladite station mobile, 

ladite station mobile etant constitute d'un terminal cooperant avec un module 
d' identification d'abonne, ledit terminal comprenant des moyens de reception dudit 
message ameliore, ledit module d' identification d'abonne comprenant des moyens de 
stockage et de traitement dudit message ameliore rcqu par le terminal, ledit module 
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d' identification d'abonne servant de support a ladite application distante et comprenant 
des moyens d' execution desdites commandes distantes, 

ledit message ameliore etant caracterise en ce que Iedit corps comprend 6galement 
un second champ de stockage de la valeur courante d'un compteur de synchronisation, 

ladite valeur courante du compteur de synchronisation etant destin£e k etre 
comparee h une valeur precedente du compteur de synchronisation stockde dans le 
module d' identification d'abonne, de fa?on que ledit message ameliore soit accept^ ou 
refuse par le module d' identification d'abonne en fonction du resultat de la comparaison 
des valeurs courante et precedente du compteur de synchronisation, ladite valeur 
precedente etant mise a jour avec ladite valeur courante seulement aprds que le message 
ameliore a ete accepte par le module d' identification d'abonnd. 

Ainsi, la synchronisation entre le centre de service de messages et le module 
d'identification d'abonne (ou module SIM) est basee sur Futilisation d'un compteur 
partage entre ces deux entites. Chaque message transmis au module SIM contient la 
valeur courante de ce compteur de synchronisation. Cette valeur courante est distincte 
pour chaque message. De son cote, le module SIM conserve la valeur precedente du 
compteur de synchronisation, qu'il compare a la valeur courante contenue dans chaque 
message, de fa<jon a accepter ou refuser ce message. 

En cas de probleme lors de la transmission d'un message, le module SIM peut se 
resynchroniser avec la source de messages des le message suivant puisque la valeur 
courante du compteur de synchronisation est contenue dans chaque message. 

Dans le cas ou le module SIM supporte plusieurs applications distantes, chacune 
de celles-ci peut etre associee a un compteur de synchronisation distinct, le module SIM 
stockant alors les valeurs pr^cedentes des differents compteurs. 

Avantageusement, le corps dudit message ameliore comprend 6galement un 
troisieme champ de stockage d'une premiere information de localisation de l'emplacement 
de stockage, dans lesdits moyens de memorisation de donnees du module d'identification 
d'abonne, de ladite valeur precedente du compteur de synchronisation. 

Ceci est particulierement interessant dans le cas ou le module SIM supporte 
plusieurs applications distantes. En effet, dans ce cas, lorsqu'il re?oit un message, c'est 
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le contenu du troisieme champ qui permet au module SIM de savoir quel compteur de 
synchronisation utiliser. 

Dans un mode de realisation particulier de 1'invention, dans lequel lesdits moyens 
de memorisation de donnees du module d'identification d'abonne poss&ient une structure 
hierarchique a au moins trois niveaux et comprennent au moins les trois types de fichiers 
suivants : 

fichier maitre, ou repertoire principal ; 

fichier specialist, ou repertoire secondaire plact sous ledit fichier maitre ; 
fichier elementaire, place sous un desdits fichiers specialises, dit fichier specialist 
parent, ou directement sous ledit fichier maitre, dit fichier maitre parent, 
un fichier elementaire systeme (EF SMS System), propre a ladite application 
distante, con tenant une seconde information de localisation de l'emplacement de 
stockage, dans lesdits moyens de memorisation de donnees du module d'identification 
d'abonne, de ladite valeur precedente du compteur de synchronisation, 

ledit message ameliore est caracterise en ce que ladite premiere information de 
localisation contenue dans ledit troisieme champ de stockage est un identificateur d'un 
fichier specialise ou d'un fichier maitre auquel se rapporte ledit fichier tltmentaire 
systeme selon une strategic de recherche predeterminee dans les moyens de memorisation 
de donnees. 

Ainsi, chaque message comporte un identificateur permettant au module SIM de 
retrouver le fichier elementaire systeme auquel 1' application distante emettrice de ce 
message est liee. Ce fichier elementaire systeme comporte notamment la valeur prtctdente 
du compteur de synchronisation associe a cette application distante emettrice du message. 

Preferentiellement, ledit corps comprend egalement un quatrieme champ de 
stockage d'un cryptogramme, dit cryptogramme transmis, dont le calcul implique au 
moins en partie le contenu du second champ de stockage de la valeur courante du 
compteur de synchronisation, 

ledit cryptogramme transmis etant destine a etre compart a un autre 
cryptogramme, dit cryptogramme local, calcule par le module d'identification d'abonnt, 
de fagon que ledit message ameliore soit accepte par le module d'identification d'abonnt 
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si les cryptogrammes transmis et local sont identiques, et refuse dans le cas contraire. 

En d'autres termes, on combine Tutilisation d'un compteur de synchronisation et 
d'un cryptogramme. Ceci permet de securiser fortement l*£change de messages entre le 
centre de service de messages et le module SIM. 

En effet, 1' utilisation d'un cryptogramme permet au module SIM de s'assurer 
d'une part que la source emettrice du message est bien une source autoris^e (on parle 
egalement de 1'authenticite de Tentite emettrice), et d'autre part de Vint6grit6 du message. 

De plus, il existe une synergie entre T utilisation du compteur de synchronisation 
et celle du cryptogramme, du fait que le calcul de ce dernier implique la valeur courante 
du compteur. 

Tout d'abord, la valeur courante du compteur etant diff^rente pour chaque 
message, le meme message ne peut pas etre rejoue frauduleusement. En d'autres termes, 
on assure ainsi Tunicite de chaque message. 

Par ailleurs, la valeur courante du compteur etant contenue dans le message, le 
module SIM sait quelle valeur courante a ete utilisee pour le calcul du cryptogramme et 
peut done calculer le cryptrogramme de comparaison (cryptogramme local) sur les memes 
bases. 

Enfin, la transmission de la valeur courante du compteur dans le message assure 
egalement qu'un message rcqu peut etre accepte, meme si le ou les messages 6mis avant 
lui ne sont pas encore re^us (ou n'arrivent jamais). 

Avantageusement, le calcul desdits cryptogrammes transmis et de verification 
implique egalement au moins en partie le contenu du premier champ de stockage des 
commandes distantes. 

Dans un mode de realisation avantageux de Finvention, le calcul desdits 
cryptogrammes transmis et de verification implique au moins tout le contenu du second 
champ de stockage de la valeur courante du compteur de synchronisation et tout le 
contenu du premier champ de stockage des commandes distantes. De cette fa5on, on 
augmente la qualite de la securisation. 

De fa^on preferentielle, le calcul desdits cryptogrammes transmis et de verification 
est effectue avec une fonction cryptographique appartenant au groupe comprenant : 
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les fonctions cryptographiques a cle secrete ; et 
les fonctions cryptographiques a cle publique. 
Ainsi, Tinvention n'est pas limitee a I'utilisation d'un type particulier de fonction 
cryptographique. 

Preferentiellement, ledit module d'identification d'abonn<5 stockant, dans lesdits 
moyens de memorisation de donnees du module d'identification d'abonne, une fonction 
cryptographique et une cle" associee specifiques a ladite application distante et permettant 
de calculer ledit cryptogramme local, 

ledit message ameliore est caracterise en ce que le corps dudit message am^lior^ 
comprend egalement un cinquieme champ de stockage d'une troisieme information de 
localisation de l'emplacement de stockage, dans lesdits moyens de memorisation de 
donnees, de ladite fonction cryptographique et de ladite cl6 associee specifiques a ladite 
application distante. 

Ceci est particulierement interessant dans le cas ou le module SIM supporte 
plusieurs applications distantes, chacune associee a un couple distinct (fonction 
cryptographique, cle), et ou le module SIM stocke les differents couples associes a ces 
differentes applications. En effet, dans ce cas, lorsqu'il recoit un message, c'est le 
contenu du cinquieme champ qui permet au module SIM de savoir quel couple (fonction 
cryptographique, cle) utiliser. 

Dans un mode de realisation preferentiel de I'invention, ledit troisieme champ 
constitue egalement ledit cinquieme champ, ladite premiere information de localisation 
constituant egalement ladite troisieme information de localisation. 

De cette facon, le contenu du troisieme champ permet au module SIM de savoir 
non seulement quel compteur de synchronisation utiliser, mais egalement quel couple 
(fonction cryptographique, cle). 

Avantageusement, ledit corps comprend egalement un sixieme champ de stockage 
d'un total de contr6Ie, dit total de controle transmis, dont le calcul implique au moins en 
partie le contenu du premier champ de stockage des commandes distantes, 

ledit total de controle transmis etant destine a etre compart a un autre total de 
controle, dit total de controle local, calcule par le module d'identification d'abonne\ de 
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fagon que ledit message ameliore soit accepte par le module d' identification d*abonn6 si 
les totaux de controle transmis et local sont identiques, et refuse dans le cas contraire. 

Cette utilisation d'un total de controle (ou "checksum" en langue anglaise) 
consitue un niveau supplemental de securisation. Ceci permet de rejeter rapidement, 
sans avoir a effectuer de calculs cryptographiques, un message qui aurait 6t6 modifi£, par 
exemple de fagon accidentelle. 

De plus, dans le cas ou Ton prevoit la possibilite de debrayer sous certaines 
conditions la verification du cryptogramme et celle du compteur, le champ "total de 
controle" assure alors seul, mais avec un niveau garanti tr&s relatif, qu'il n'y a pas eu 
corruption accidentelle ou intentionnelle du message. II est clair cependant que cette 
possibilite doit etre reservee a des configurations ou la s£curit6 logique li6e aux 
applications distantes limite les actions qui sont possibles dans le module SIM. 

De fa?on avantageuse, ledit module d' identification d'abonnt comprenant une 
ligne d' entree/sortie sur laquelle il regoit des commandes locales, appartenant h une 
application locale a ladite station mobile, 

ledit message ameliore est caracterise en ce que lesdites commandes distantes 
contenues dans ledit premier champ dudit message amelior6 sont sensiblement identiques 
auxdites commandes locales revues sur la ligne d'entree/sortie. 

De cette fagon, le module SIM peut gerer les deux types de commandes, locales et 
distantes, sans qu'il soit necessaire de dupliquer le code executable du module SIM (code 
generalement situe en memoire ROM et/ou en memoire EEPROM). 

L' invention concerne egalement un procede de synchronisation et de securisation 
d'un echange de messages ameliores entre un centre de service de messages et une station 
mobile d'un systeme de radiocommunication cellulaire, chaque message ameliore 
comprenant un en-tete et un corps, ledit corps contenant notamment un premier champ de 
stockage de commandes distantes appartenant k une application distante de ladite station 
mobile, 

ladite station mobile etant constitute d'un terminal cooperant avec un module 
d' identification d'abonne, ledit terminal comprenant des moyens de reception dudit 
message ameliore, ledit module d' identification d'abonne comprenant des moyens de 
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stockage et de traitement dudit message ameliore recu par le terminal, ledit module 
d' identification d'abonne servant de support a ladite application distante et comprenant 
des moyens d'execution desdites commandes distantes, 

ledit precede etant caracterise en ce qu'il comprend notamment les Stapes 

suivantes : 

ledit centre de service de messages transmet a ladite station mobile un message 
ameliore dont le corps comprend egalement un second champ de stockage de la 
valeur courante d'un compteur de synchronisation ; 

le module d' identification d'abonne de la station mobile compare ladite valeur 
courante du compteur de synchronisation, contenue dans ledit message am£liore\ 
avec une valeur precedente du compteur de synchronisation, stockee dans le 
module d'identification d'abonne ; 

le module d'identification d'abonne accepte ou refuse ledit message ameliore en 
fonction du resultat de la comparison des valeurs courante et precedente du 
compteur de synchronisation ; 

si le message ameliore a ete accepte, le module d'identification d'abonne" met a 
jour ladite valeur precedente avec ladite valeur courante. 

Preferentiellement, pour chaque nouveau message ameliore de ladite application 
distante transmis par ledit centre de service de messages, la valeur courante du compteur 
de synchronisation est incrementee d'un pas predetermine, 

et ledit message ameliore est accepte par le module d'identification d'abonne" 
seulement si ladite valeur courante du compteur de synchronisation est supeneure a ladite 
valeur precedente. 

En d'autres termes, pour eviter le rejeu d'un message, toute nouvelle valeur 
courante doit etre superieure a celle contenue dans le demier message accepte" (c'est-a-dire 
a la valeur precedente stockee dans le module SIM). 

De facon preferentielle, ladite etape de mise a jour de la valeur precedente du 
compteur de synchronisation avec ladite valeur courante est effectuee seulement si la 
difference entre lesdites valeurs courante et precedente est infeneure a un pas 
decrementation maximal predetermine. 
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De cette fa^on, on evite que le compteur soit trop rapidement bloqu£ & sa valeur 
maximale. En d'autres termes, on augmente la duree de vie du compteur, et on 6vite des 
attaques consistant a bloquer rapidement le module SIM en amenant le compteur & sa 
valeur maximale. En effet, lorsqu'il est ainsi bloque, le compteur ne peut pas etre remis & 
5 zero par une application distante. Seule une procedure administrative peut permettre de le 

debloquer, ce qui engendre des couts supplementaires. 

Avantageusement, ledit procede comprend egalement l*£tape suivante : 
lorsque ledit message ameliore est refuse par le module d' identification d*abonn6, 
celui-ci renvoie au centre de service de messages un message ame!ior£ contenant 
10 un code d'erreur specifique, permettant au centre de service de messages de 

savoir que ledit message ameliore qu'il a prec^demment 6mis a €t€ refusd pour un 
probleme de synchronisation de compteur. 

Ceci est notamment le cas lorsque deux messages successifs, par exemple, de 
valeurs courantes de compteur N et N+l respectivement, ne sont pas refus dans leur 
15 ordre d'emission. En effet, si le premier message regu est accepte, le second message est 

quant a lui refuse (comme explique ci-dessous) et Tentit6 emettrice peut alors 
avantageusement etre prevenue de la cause de ce refus, a savoir un probl&me de 
synchronisation. 

On comprend en effet que lorsque le module SIM refoit le premier message (de 
20 valeur N+ 1 ), la valeur precedente qu'il stocke est N-l. Par consequent, la valeur courante 

du premier message, egale a N+l, est superieure a cette valeur N-l. Ensuite, la valeur 
precedente est mise a jour avec la valeur courante du premier message regu, et lorsque le 
module SIM re?oit le second message, la valeur precedente qu'il stocke est done N+l. 
Par consequent, la valeur courante du second message, egale & N, est infdrieure k cette 
25 valeur precedente N+l, ce qui justifie le refus de ce second message pour probleme de 

synchronisation. 

De fagon avantageuse, le corps dudit message ameliore transmis par le centre de 
service de messages a la station mobile comprend egalement un troisieme champ de 
stockage d'une premiere information de localisation de Femplacement de stockage, dans 
30 lesdits moyens de memorisation de donnees du module d* identification d'abonnd, de 
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ladite valeur precedente du compteur de synchronisation, 

ladite etape de comparaison par le module d'identification d'aboiun* des valeurs 
courante et precedente du compteur de synchronisation etant prec&tee des Stapes 
suivantes : 

le module d'identification d'abonne lit ladite premiere information de localisation 
contenue dans le troisieme champ dudit message ameliore ; 

le module d' identification d'abonne en deduit Templacement de stockage de la 
valeur precedente du compteur de synchronisation ; 

le module d' identification d'abonne lit, audit emplacement de stockage, la valeur 
precedente du compteur de synchronisation. 

Dans un mode de realisation preferentiel de Hnvention, le corps dudit message 
ameliore transmis par le centre de service de messages h la station mobile comprend 
egalement un quatrieme champ de stockage d'un cryptogramme, dit cryptogramme 
transmis, calcule en utilisant au moins en partie le contenu du second champ de stockage 
de la valeur courante du compteur de synchronisation, 

et ledit procede comprend egalement les etapes suivantes : 

le module d' identification d'abonne calcule un cryptogramme local, en utilisant au 
moins en partie le contenu du second champ dudit message am£lior6 ; 
le module d' identification d'abonne compare ledit cryptogramme transmis et ledit 
cryptogramme local, de fa?on que ledit message amelion* soit accepts si les 
cryptogrammes transmis et local sont identiques, et refuse dans le cas contraire. 
Avantageusement, ledit module d' identification d'abonne stockant, dans lesdits 
moyens de memorisation de donnees du module d'identification d'abonn^, une fonction 
cryptographique et une cle associee specifiques a ladite application distante permettant de 
calculer ledit cryptogramme local, 

ledit procede est caracterise en ce que le corps dudit message am<SlionJ transmis 
par le centre de service de messages a la station mobile comprend egalement un cinquifcme 
champ de stockage d'une troisieme information de localisation de Templacement de 
stockage, dans lesdits moyens de memorisation de donnees, de ladite fonction 
cryptographique et de ladite cle associee, 
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et en ce que ladite etape de calcul par le module d* identification d'abonne dudit 
cryptogramme local comprend les Stapes suivantes : 

le module d' identification d'abonne lit ladite troisieme information de localisation 
contenue dans le cinquieme champ dudit message ameliore ; 
le module d' identification d'abonne en deduit Templacement de stockage de ladite 
fonction cryptographique et de ladite cle associee ; 

le module d' identification d'abonne calcule ledit cryptogramme local, en utilisant 
ladite fonction cryptographique, ladite cle associee et au moins une partie du 
contenu du second champ dudit message ameliore. 

Dans un mode de realisation avantageux de 1' invention, dans lequel lesdits 
moyens de memorisation de donnees du module d' identification d'abonne possfcdent une 
structure hierarchique a au moins trois niveaux et comprennent au moins les trois types de 
fichiers suivants : 

fichier maitre, ou repertoire principal ; 

fichier specialise, ou repertoire secondaire place sous ledit fichier maitre ; 
fichier elementaire, place sous un desdits fichiers specialises, dit fichier specialise 
parent, ou directement sous ledit fichier maitre, dit fichier maitre parent, 
ledit procede est caracterise en ce qu'un fichier elementaire systeme (EF SMS 
System), propre a ladite application distante, contient une seconde information de 
localisation de Templacement de stockage, dans lesdits moyens de memorisation de 
donnees du module d' identification d'abonne, de ladite valeur precedente du compteur de 
synchronisation, de ladite fonction cryptographique et de ladite cie associee, 

en ce que ledit troisieme champ constitue egaiement ledit cinquieme champ, ladite 
premiere information de localisation constituant egaiement ladite troisieme information de 
localisation, 

et en ce que ladite premiere information de localisation contenue dans ledit 
troisieme champ de stockage est un identificateur d'un fichier specialise (DF) ou d'un 
fichier maitre (MF) auquel se rapporte ledit fichier elementaire systeme (EF SMS System) 
selon une strategie de recherche predeterminee dans les moyens de memorisation de 
donnees. 
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Avantageusement, le corps dudit message ameliore transmis par le centre de 
service de messages a la station mobile comprend egalement un sixteme champ de 
stockage d'un total de controle, dit total de controle transmis, dont le calcul implique au 
moins en partie le contenu du premier champ de stockage des commandes distantes, 

ledit procede comprenant egalement les etapes suivantes : 

le module d' identification d'abonne calcule un total de controle local, en utilisant 
au moins en partie le contenu du premier champ dudit message am£lior£ ; 
le module d' identification d'abonne compare ledit total de controle transmis et 
ledit total de controle local, de fa?on que ledit message ameliore soit accept^ si les 
totaux de controle transmis et local sont identiques, et refuse dans le cas contraire. 
D'autres caracteristiques et avantages de T invention apparaitront k la lecture de la 
description suivante d'un mode de realisation preferentiel de finvention, donn6 k titre 
d'exemple indicatif et non limitatif, et des dessins annexes, dans lesquels : 

la figure 1 presente un mode de realisation particulier de la structure d'un 
message ameliore selon V invention ; 

les figures 2 a 4 presentent chacune un exemple d'echange de messages 
ameliores securise selon le procede de Finvention ; 

la figure 5 presente un exemple de calcul d'un cryptogramme utilise dans 
le procede de finvention ; 

la figure 6 presente un organigramme simplifie d'un mode de realisation 
particulier du procede de finvention ; et 

les figures 7 a 9 presentent chacune, de fa?on plus detaill£e, une des 
etapes apparaissant sur l'organigramme de la figure 6. 
L' invention concerne done une structure particuliere de message ameliord, ainsi 

qu'un procede de synchronisation et de securisation d'un echange de messages am^liords 

possedant cette structure. 

Dans le mode de realisation particulier decrit ci-dessous, uniquement k titre 
d'exemple indicatif et non limitatif, le systeme de radiocommunication cellulaire est du 
type GSM et met en oeuvre un service de messages courts ameliores (ou ESMS, pour 
"Enhanced Short Message Service" en langue anglaise). 
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II est clair toutefois que Tinvention n'est pas limine a un systeme de type GSM, 
mais concerne plus generalement tous les systemes de radiocommunication cellulaire 
proposant un service de messages ameliores. 

De fa?on classique, dans le cas du GSM, les messages courts ameliores sont 
echanges entre un centre de service de messages courts (SMS-C) et une ou plusieurs 
stations mobiles (MS) parmi une plurality. Chaque station mobile est constitute d'un 
terminal cooperant avec un module d' identification d'abonne (module SIM). Le terminal 
comprend des moyens de reception d'un message ameliore. Le module SIM comprend 
des moyens de stockage et de traitement du message amelior6 re$u par le terminal. 
Chaque message ameliore contient des commandes distantes appartenant h une application 
distante du module SIM. Le module SIM sert de support k cette application distante (et 
eventuellement a d'autres) et comprend des moyens d'execution de ces commandes 
distantes. 

La figure 1 presente un mode de realisation particulier de la structure d'un 
message ameliore selon Tinvention. 

De fa?on classique, le message ameliore comprend un en-tete 1 et un corps 2 (ou 
TP-UD, pour "Transfer layer Protocol - User Data" en langue anglaise). Le corps 2 
contient notamment un champ "Commandes" 3, dans lequel sont stock^es des 
commandes distantes. 

Selon l'invention, il s'agit par exemple de commandes classiques (op^rationnelles 
ou administratives), definies dans les normes GSM 11.11, ISO 78.16-4 ou encore EN 
726-3, telles que SELECT, UPDATE BINARY, UPDATE RECORD, SEEK, CREATE 
FILE, CREATE RECORD, EXTEND, etc. En d'autres termes, le format de ces 
commandes distantes est identique a celui des commandes locales que le module SIM 
re?oit normalement sur sa ligne d' entree/sortie. Le module SIM peut done traiter les 
commandes distantes de la meme fagon que des commandes locales. 

Dans le mode de realisation particulier presente sur la figure 1, le corps 2 du 
message ameliore de T invention comprend plusieurs autres champs, k savoir notamment 
un champ "Compteur de synchronisation" 4, un champ "Systeme" 5, un champ 
ki Certificat SMS" 6 et un champ "SMS-Id" 7. 
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On presente maintenant, de fa$on detaillee, le contenu de chacun de ces autres 
champs 4 a 7 du corps 2 du message ameliore. 

Le champ "Compteur de synchronisation" 4 contient la valeur courante d'un 
compteur de synchronisation. Comme explique plus precisement par la suite, en relation 
avec les figures 2 a 4, 6 et 8, cette valeur courante du compteur de synchronisation est 
destinee a etre comparee a une valeur precedente de ce meme compteur de 
synchronisation, qui est stockee dans les moyens de memorisation de donn<Ses du module 
SIM. En fonction du resultat de cette comparison, le message ameliore est soit accept^ 
soit refuse par le module SIM. 

Le champ "Systeme" 5 contient une information de localisation, dans les moyens 
de memorisation de donnees du module SIM, d'un fichier systeme contenant lui-meme 
soit directement des elements propres a f application distante emettrice du message, soit 
une autre information de localisation, dans les moyens de memorisation de donnees du 
module SIM, de ces elements. 

Par elements propres a T application distante emettrice, on entend notamment la 
valeur precedente du compteur de synchronisation ainsi qu'une fonction cryptographique 
et sa cle associee (ces deux derniers elements permettant de calculer un cryptogramme 
"local" destine a etre compare a un cryptogramme "transmis" contenu dans le champ 
"Certificat SMS" 6). 

II est connu de pnSvoir, pour les moyens de memorisation de donnees du module 
SIM, une structure hierarchique a au moins trois niveaux, avec les trois types de fichiers 

suivants : 

fichier maitre (MF), ou repertoire principal ; 

fichier specialise (DF), ou repertoire secondaire place sous le fichier maitre ; 

fichier elementaire (EF), place sous un des fichiers specialises, dit fichier 

specialise parent, ou directement sous le fichier maitre, dit fichier maitre parent. 

Dans le cas d'une telle structure hierarchique, le fichier systeme pr£cit<5 de 
T invention est par exemple un fichier elementaire systeme (EF SMS System). 
L' information de localisation contenue dans le champ "Systdme" 5 est alors un 
identificateur ("DF entree") d'un fichier specialise (DF) ou d'un fichier maitre (MF) 
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auquel se rapporte le fichier elementaire systeme (EF SMS System) selon une strategic de 
recherche predeterminee dans les moyens de memorisation de donn^es. 

Le module SIM met par exemple en oeuvre un mecanisme de recherche en amont 
Cdu type "backtracking"), consistant : 

a rechercher un fichier elementaire systeme tout d'abord sous le fichier 
specialise ou le fichier maitre courant (c'est-a-dire celui indiqu£ par 
I'identificateur "DF entree"), 

puis, si aucun fichier elementaire systeme n'existe sous le fichier 
specialise ou le fichier maitre courant et si I'identificateur "DF entree" 
n'indique pas le fichier maitre, a rechercher un fichier Elementaire systfcme 
directement sous le fichier maitre. * 
Ainsi, le module SIM lit dans le message ameliore Fidentificateur "DF entire" 
contenu dans le champ "Systeme" 5. A partir de cet identificateur "DF entree", il retrouve 
le fichier elementaire systeme auquel est liee l'application distante 6mettrice du message. 
Dans ce fichier elementaire systeme, le module SIM lit par exemple : 

directement la valeur courante du compteur de synchronisation ; et 
I'identificateur d'un fichier specialise sous lequel se trouve un fichier EF 
key_op contenant le couple (fonction cryptographique, cle associ6e) U6 k 
V application distante emettrice du message. 
Le champ "Certificat SMS" 6 contient un cryptogramme (appete "cryptogramme 
transmis" dans la suite de la description). Comme expliqu€ plus prdcis^ment par la suite, 
en relation avec les figures 6 et 9, ce cryptogramme transmis est destin6 & etre compart k 
un cryptogramme local, qui lui est calcule par le module SIM. En fonction du r6sultat de 
cette comparaison, le message ameliore est soit accept^ soit refuse par le module SIM. 

On presente maintenant un mode de realisation particulier du calcul du 
cryptogramme transmis SMS-Cert (ce calcul est bien sur identique a celui du 
cryptogramme local). On a la relation : 

SMS-Cert = 4 octets les moins significatifs de [MAC_Alg a i g ojd (K app ii, SMS_data)], oD 
"Alg aIgo _ id " est Talgorithme associe a 1' application distante (la localisation de cet 
algorithme est possible grace au fichier elementaire systeme (EF SMS System) 
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dont depend cette application distante) ; 

K appli est la cle secrete (ou publique) associee a ralgorithme Algaigpjd ; 
"SMS„data" = Sync I Message applicatif, ou : 

* "I" symbolise 1'operateur de concatenation ; 

* "Sync" est la valeur (courante, pour le calcul du cryptogramme transmis) 
du compteur de synchronisation ; 

* "Message applicatif est le contenu du champ "Commandes" 3 (dans 
lequel sont stockees les commandes distantes) ; 

MAC_Alg a | goJd est une fonction basee sur Talgorithme Alg a i g0 id , qui realise un 
calcul du type "MAC" (pour "Message Authentication Code" en anglo-saxon) sur 
la concatenation SMS_data, en utilisant la cle K appli . 

La figure 5 presente un exemple de calcul du cryptogramme transmis SMS-Cert, 
dans le cas ou ralgorithme Alg aIgoJd est le MoU A3A8. II est clair cependant que 
Talgorithme A3A8 n'est qu'un exemple d* implementation, et que d'autre algorithmes 
peuvent etre utilises. Notamment une implementation plus generaliste consiste k specifier, 
pour une application particuliere, ralgorithme a utiliser (au moyen d'un identifiant 
d'algorithme). 

La concatenation SMS_data est divisee en n blocs B i , B 2 , B n _i, B n , avec 
n < 9. Les blocs B\ a B n comprennent par exemple 16 octets. Si la longueur de la 
concatenation SMS_data ne permet pas d'obtenir un dernier bloc B n comprenant 16 
octets, ce dernier bloc est justifie a gauche et complete sur la droite avec des octets de 
valeur 0, de fa^on a construire un bloc comprenant 16 octets appele B* n . Ces blocs sont 
impliques dans les calculs suivants : 
Ii = A3A8 (KappH, B,) 
R 2 = XOR (Ii, B 2 ) 
h - A3A8 (Ka Pp ii, R2) 

R n -i =XOR (I n . 2 , B n .,) 

In- 1 = A3A8 (Kappli, R„.!) 
R n = XOR(I n _,,B' n ) 
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I n = A3A8 (Kappli, Rn) 

I n est le resultat de la fonction MAC_A3A8. XOR est l'op^rateur r^alisant un 
"OU-exclusif ' bit-par-bit entre deux chaines de 16 octets. 

Le champ "SMS-Id" 7 contient un total de controle (appel6 "total de contrdle 
5 transmis" dans la suite de la description). Cornme explique plus pr&nsement par la suite, 

en relation avec les figures 6 et 7, ce total de controle transmis est destine h etre compare k 
un total de controle local, qui lui est calcule par le module SIM. En fonction du resultat de 
cette comparaison, le message ameliore est soit accepte soit refuse par le module SIM. 

On presente maintenant un mode de realisation particulier du calcul du total de 
10 controle transmis SMS_Id (ce calcul est bien sur identique a celui du total de controle 

local). On a la relation : SMS_Id = NON (Z octets du champ "Commandes" 3). 

La figure 6 presente un organigramme simplifie d'un mode de realisation 
particulier du procede de Finvention de synchronisation et de securisation d'un ^change 
de messages ameliores possedant la structure de la figure 1. 
15 Dans ce mode de realisation particulier, le procede de Finvention comprend 

notamment les etapes suivantes : 

le centre de service de messages transmet (61) un message am61ior6 au 
module SIM de la station mobile ; 

le module SIM verifie (62) le total de controle transmis, qui est contenu 
20 dans le champ "SMS-Id" 7 du message amelior£ ; 

si (63) le resultat de la verification du total de controle transmis n'est pas 
correct, le message ameliore est refuse par le module SIM, sinon (64) le 
module SIM verifie (65) la valeur courante du compteur de 
synchronisation, qui est contenue dans le champ "Compteur de 
25 synchronisation" 4 ; 

si (66) le resultat de la verification de la valeur courante du compteur de 
synchronisation n'est pas correct, le message ameliore est refuse par le 
module SIM, sinon (67) le module SIM met imm€diatement k jour la 
valeur precedente du compteur avec la valeur courante, et ce avant toute 
30 autre verification. Puis il verifie (68) le cryptogramme transmis, qui est 
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contenu dans le champ "Certificat SMS" 6 ; 

si (69) le resultat de la verification du cryptogramme transmis n'est pas 
correct, le message ameliore est refuse par le module SIM, sinon (610) le 
module SIM execute (611) les commandes distantes contenues dans le 
champ "Commandes" 3. 

Comme presente plus en detail sur la figure 7, l'ltape (62) de verification du total 
de controle transmis comprend elle-meme les etapes suivantes : 

le module SIM lit (7 1 ), dans le champ "SMS-Id" 7 du message am«§lior£, le total 

de controle transmis ; 

le module SIM calcule (72) un total de controle local, selon la meme rdgle de 

calcul que celle utilisee pour calculer le total de controle transmis ; 

le module SIM compare (73) le total de controle transmis et le total de controle 

local. 

Ainsi, a ce premier niveau de verification, le message ameliord est accept^ (64) si 
les totaux de controle transmis et local sont identiques, et refuse (63) dans le cas 
contraire. 

Comme presente plus en detail sut la figure 8, Tetape (65) de verification de la 
valeur courante du compteur de synchronisation comprend elle-meme les differentes 
etapes suivantes : 

le module SIM lit (81), dans le champ "Compteur de synchronisation" 4, la valeur 
courante du compteur de synchronisation ; 

le module SIM lit (82), dans le champ "Systeme" 5 du message amnion*, une 

information de localisation d'un fichier systeme (EF SMS System). Comme dej& 

explique ci-dessus, cette information de localisation est par exemple 

Tidentificateur "DF entree" d'un fichier specialise (DF) ou d'un fichier maitre 

(MF) auquel se rapporte ce fichier elementaire systeme (EF SMS System) ; 

le module SIM en deduit (83) femplacement, dans les moyens de memorisation 

de donnees du module SIM, du fichier systeme (EF SMS System) qui contient 

notamment la valeur precedente du compteur de synchronisation ; 

le module SIM lit (84), dans le fichier systeme (EF SMS System), la valeur 
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precedente du compteur de synchronisation ; 

le module SIM compare (85) la valeur courante du compteur de synchronisation 
avec la valeur precedente stockee dans le module SIM ; 

a ce second niveau de verification, le message ameliore est accepte par le module 
5 SIM si (67) la valeur courante est strictement superieure a la valeur precedente du 

compteur de synchronisation. Le module SIM peut alors mettre k jour (86) la 
valeur precedente avec la valeur courante ; 

si (66) la valeur courante est inferieure ou egale a la precedente du compteur de 
synchronisation, le message ameliore est refuse par le module SIM. Le module 
10 SIM peut alors renvoyer (87) au centre de service de messages un message 

ameliore contenant un code d'erreur specifique, permettant au centre de service de 
messages de savoir que le message amdliore qu'il a prec^demment emis a 6t6 
refuse pour un probleme de synchronisation de compteur. 

On peut par exemple decider que pour chaque nouveau message ameliore transmis 
1 5 par le centre de service de messages, la valeur courante du compteur de synchronisation 

est incrementee d'un pas predetermine (par exemple egal a 1). Un message ameliore n'est 
alors accepte par le module SIM que si la valeur courante du compteur de synchronisation 
que contient ce message ameliore est superieure a la valeur precedente stockee par le 
module SIM. 

20 On peut egalement prevoir que Tetape 86 de mise a jour de la valeur precedente du 

compteur de synchronisation avec la valeur courante n'est effectuee que si la difference 
entre les valeurs courante et precedente du compteur de synchronisation est inferieure k 
un pas d' incrementation maximal predetermine. 

Les figures 2 a 4 presentent differents exemples d'echange de messages ameiiores 

25 securise selon le procede de V invention. Sur chaque figure, on represente revolution de 

la valeur courante du compteur, notee E_Sync (dans le "monde exterieur'% sur la gauche) 
et celle de la valeur stockee, notee S_Sync (dans le module SIM, sur la droite). Chaque 
flee he represente un message. 

Dans le premier cas (cf fig. 2), la synchronisation et la transmission du message 

30 ameliore sont correctes. On a : E_Sync (= 1) > S_Sync (= 0). La valeur precedente est 
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mise a jour a 1 et les commandes distantes sont executees. 

Dans le second cas (cf fig.3), il y a un probleme lors de la transmission du 
message ameliore. Le module SIM ne repond pas. Par contre, la seconde tentative de 
transmission se deroule sans probleme. Finalement, on a : E_Sync (= 3) > S_Sync (= 1). 
5 La valeur precedente est mise a jour a 3 et les commandes distantes sont ex6cut6es. 

Dans le troisieme cas (cf fig.4), il y a un probleme de synchronisation au depart. 
En effet, on a : E_Sync (= 1) < S_Sync (= 5). Plusieurs messages amelionSs comprenant 
des valeurs courantes successivement incrementees sont envoy^s jusqu'i ce que le centre 
de service de messages soit a nouveau synchronise avec le module SIM. Ceci est le cas 
1 0 lorsque Ton a : E_Sync (= 6) > S_Sync (= 5). La valeur precedente peut alors etre mise k 

jour a 6 et les commandes distantes sont executees. 

Comme presente plus en detail sur la figure 9, Tetape (68) de verification du 
cryptogramme transmis comprend elle-meme les differentes etapes suivantes : 

le module SIM lit (91), dans le champ "Certificat SMS" 6, la valeur courante du 
1 5 compteur de synchronisation ; 

le module SIM calcule (92) un cryptogramme local, selon la meme r£gie de calcul 

que celle utilisee pour calculer le cryptogramme transmis ; 

le module SIM compare (93) le cryptogramme transmis et le cryptogramme local. 
Ainsi, a ce troisieme niveau de verification, le message am£lior£ est accept^ (610) 
20 si les cryptogrammes transmis et local sont identiques, et refuse (69) dans le cas 

contraire. 

Sur la figure 9, on a egalement presente de fa^on plus detailtee T6tape 92 de calcul 
du cryptogramme local, qui comprend elle-meme les etapes suivantes : 

le module SIM lit (94), dans le champ "Systeme" 5 du message amnion*, une 

25 information de localisation d'un fichier systeme (EF SMS System) ; 

le module SIM en deduit (95) Templacement, dans les moyens de memorisation 
de donnees du module SIM, du fichier systeme (EF SMS System). Ce fichier 
systeme contient lui-meme une autre information de localisation permettant au 
module SIM de retrouver la fonction cryptographique et sa cl6 associ£e, qui sont 

30 liees a V application distante emettrice du message am61ior£ ; 
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le module SIM calcule (96) le cryptogramme local, en utilisant la fonction 

cryptographique et sa cle associee, comme expliqu^ prec6demment. 

II est a noter que Tetape referencee 94 et le d6but de celle v6f6rexic6e 95 sont en 
realite deja effectues, comme explique precedemment, pour retrouver la valeur prec^dente 
5 du compteur de synchronisation (qui quant a elle est directement stock^e dans le fichier 

systeme (EF SMS System)). 

II est clair que de nombreux autres modes de realisation de l'invention peuvent 
etre envisages. 

On peut notamment prevoir deux fichiers systeme distincts pour retrouver d'une 
10 part la valeur precedente du compteur de synchronisation et d'autre part la fonction 

cryptographique et sa cle associee. Dans ce cas, on a deux champs "Systeme" du type de 
ceiui reference 5. 

On peut egalement prevoir que la fonction cryptographique soit du type h cl6 
publique. 

\ 5 Enfin, il est a noter que l'etape 62 de verification du total de controle, comme celle 

68 de verification du cryptogramme transmis, peut eventuellement etre omise. 
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REVENDICATIONS 

1 . Message ameliore, du type transmis par un centre de service de messages (C- 
SMS) vers une station mobile (MS) d'un systeme de radiocommunication cellulaire, ledit 
message ameliore comprenant un en-tete (1) et un corps (2), ledit corps (2) contenant 
5 notamment un premier champ (3) de stockage de commandes distantes appartenant k une 

application distante de ladite station mobile, 

ladite station mobile etant constitute d'un terminal cooperant avec un module 
d' identification d'abonne, ledit terminal comprenant des moyens de reception dudit 
message ameliore, ledit module d'identification d'abonne comprenant des moyens de 
10 stockage et de traitement dudit message ameliore re?u par le terminal, ledit module 

d' identification d'abonne servant de support a ladite application distante et comprenant 
des moyens d'execution desdites commandes distantes, 

ledit message ameliore etant caracterise en ce que ledit corps (2) comprend 
egalement un second champ (4) de stockage de la valeur courante d'un compteur de 
15 synchronisation, 

ladite valeur courante du compteur de synchronisation etant destin^e k etre 
comparee a une valeur precedente du compteur de synchronisation stockde dans le 
module d' identification d'abonne, de fa?on que ledit message ameliore soit accepts ou 
refuse par le module d' identification d'abonne en fonction du resultat de la comparaison 
20 des valeurs courante et precedente du compteur de synchronisation, ladite valeur 

precedente etant mise a jour avec ladite valeur courante seulement apres que le message 
ameliore a ete accepte par le module d' identification d'abonne. 

2 . Message ameliore selon la revendication 1, caracterise en ce que le corps (2) dudit 
message ameliore comprend egalement un troisieme champ (5) de stockage d'une 

25 premiere information de localisation de l'emplacement de stockage, dans lesdits moyens 

de memorisation de donnees du module d' identification d'abonnd, de ladite valeur 
precedente du compteur de synchronisation. 

3 . Message ameliore selon la revendication 2, lesdits moyens de memorisation de 
donnees du module d'identification d'abonne possedant une structure hierarchique h au 

30 moins trois niveaux et comprenant au moins les trois types de fichiers suivants : 
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fichier maltre (MF), ou repertoire principal ; 

fichier specialise (DF), ou repertoire secondaire place sous ledit fichier maltre ; 
fichier elementaire (EF), place sous un desdits fichiers specialises, dit fichier 
specialise parent, ou directement sous ledit fichier maitre, dit fichier maltre parent, 
un fichier elementaire systeme (EF SMS System), propre h ladite application 
distante, contenant une seconde information de localisation de Templacement de 
stockage, dans lesdits moyens de memorisation de donnees du module d* identification 
d'abonne, de ladite valeur precedente du compteur de synchronisation, 

ledit message ameliore etant caracterise en ce que ladite premiere information de 
localisation contenue dans ledit troisieme champ (5) de stockage est un identificateur d'un 
fichier specialise (DF) ou d'un fichier maitre (MF) auquel se rapporte ledit fichier, 
elementaire systeme (EF SMS System) selon une strategic de recherche pr6d6termin6e 
dans les moyens de memorisation de donnees. 

4 . Message ameliore selon Tune quelconque des revendications 1 & 3, caracterise en 
ce que iedit corps comprend egalement un quatrteme champ (6) de stockage d'un 
cryptogramme, dit cryptogramme transmis, dont le calcul implique au moins en partie le 
contenu du second champ de stockage de la valeur courante du compteur de 
synchronisation, 

ledit cryptogramme transmis etant destine a etre compare & un autre 
cryptogramme, dit cryptogramme local, calcule par le module d' identification d'abonne, 
de fa<jon que ledit message ameliore soit accepte par le module d' identification d'abonn6 
si les cryptogrammes transmis et local sont identiques, et refuse dans le cas contraire. 

5 . Message ameliore selon la revendication 4, caracterise en ce que le calcul desdits 
cryptogrammes transmis et de verification implique dgalement au moins en partie le 
contenu du premier champ (3) de stockage des commandes distantes. 

6 . Message ameliore selon la revendication 5, caracterise en ce que le calcul desdits 
cryptogrammes transmis et local implique au moins tout le contenu du second champ (4) 
de stockage de la valeur courante du compteur de synchronisation et tout le contenu du 
premier champ (3) de stockage des commandes distantes. 

7 , Message ameliore selon Tune quelconque des revendications 4 k 6, caracterise en 
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ce que le calcul desdits cryptogrammes transmis et local est effected avec une fonction 
cryptographique appartenant au groupe comprenant : 

les fonctions cryptographiques a cle secrete ; et 

les fonctions cryptographiques a cle publique. 

8 . Message ameliore selon l'une quelconque des revendications 1 a 7, ledit module 
d' identification d'abonne stockant, dans lesdits moyens de memorisation de donnees du 
module d' identification d'abonne, une fonction cryptographique et une cl6 associ£e 
specifiques a ladite application distante et permettant de calculer ledit cryptogramme local, 

ledit message ameliore etant caracterise en ce que le corps dudit message ameliore 
comprend egalement un cinquieme champ (5) de stockage d'une troisieme information de 
localisation de l'emplacement de stockage, dans lesdits moyens de memorisation de 
donnees, de ladite fonction cryptographique et de ladite cle associee specifiques h ladite 
application distante. 

9 „ Message ameliore selon les revendications 2 et 8, caracterise en ce que ledit 
troisieme champ (5) constitue egalement ledit cinquidme champ, ladite premifere 
information de localisation constituant egalement ladite troisieme information de 
localisation. 

1 0 . Message ameliore selon Tune quelconque des revendications 1 & 9, caracterise en 
ce que ledit corps (2) comprend egalement un sixieme champ (7) de stockage d'un total 
de controls dit total de controle transmis, dont le calcul implique au moins en partie le 
contenu du premier champ (3) de stockage des commandes distantes, 

ledit total de controle transmis etant destine a etre compare k un autre total de 
controle, dit total de controle local, calcule par le module d' identification d'abonne, de 
fa<jon que ledit message ameliore soit accepte par le module d' identification d'abonne si 
les totaux de controle transmis et local sont identiques, et refuse dans le cas contraire. 
1 1 • Message ameliore selon Tune quelconque des revendications 1 k 10, ledit module 
d' identification d'abonne comprenant une ligne d'entree/sortie sur laquelle il re$oit des 
commandes locales, appartenant a une application locale a ladite station mobile, 

caracterise en ce que lesdites commandes distantes contenues dans ledit premier 
champ (3) dudit message ameliore sont sensiblement identiques auxdites commandes 
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locales revues sur la ligne d' entree/sortie. 

12. Procede de synchronisation et de s^curisation d'un echange de messages 
ameliores entre un centre de service de messages (C-SMS) et une station mobile (MS) 
d'un systeme de radiocommunication cellulaire, chaque message am£lior6 comprenant un 
en-tete (1) et un corps (2), ledit corps (2) contenant notamment un premier champ (3) de 
stockage de commandes distantes appartenant a une application distante de ladite station 
mobile, 

ladite station mobile etant constitute d'un terminal cooperant avec un module 
d' identification d'abonne, ledit terminal comprenant des moyens de reception dudit 
message ameliore, ledit module d' identification d'abonne comprenant des moyens de 
stockage et de traitement dudit message ameliore rcqu par le terminal, ledit module 
d' identification d'abonne servant de support a ladite application distante et comprenant 
des moyens d'execution desdites commandes distantes, 

ledit procede etant caracterise en ce qu'il comprend notamment les Stapes 
suivantes : 

ledit centre de service de messages transmet (61) a ladite station mobile un 
message ameliore dont le corps comprend egalement un second champ (4) de 
stockage de la valeur courante d'un compteur de synchronisation ; 
le module d' identification d'abonne de la station mobile compare (65 ; 85) ladite 
valeur courante du compteur de synchronisation, contenue dans ledit message 
ameliore, avec une valeur precedente du compteur de synchronisation, stockte 
dans le module d' identification d'abonne ; 

le module d' identification d'abonne accepte (67) ou refuse (66) ledit message 
ameliore en fonction du resultat de la comparaison des valeurs courante et 
precedente du compteur de synchronisation ; 

si le message ameliore a ete accepte, le module d' identification d'abonnt met h 
jour (86) ladite valeur precedente avec ladite valeur courante. 

1 3 . Procede selon la revendication 12, caracterise en ce que, pour chaque nouveau 
message ameliore de ladite application distante transmis par ledit centre de service de 
messages, la valeur courante du compteur de synchronisation est increments d'un pas 
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predetermine, 

et en ce que ledit message ameliore est accept^ par le module d'identification 
d'abonne seulement si ladite valeur courante du compteur de synchronisation est 
superieure a ladite valeur precedente. 
5 1 4 • Procede selon Tune quelconque des revendications 12 et 13, caract6ris6 en ce que 

ladite etape de mise a jour de la valeur precedente du compteur de synchronisation avec 
ladite valeur courante est effectuee seulement si la difference entre lesdites valeurs 
courante et precedente est inferieure a un pas d' incrementation maximal pr6d6termin<5. 
1 5 . Procede selon Tune quelconque des revendications 12 & 14, caract6ris6 en ce qu'il 
1 0 comprend egalement l'etape suivante : 

lorsque ledit message ameliore est refuse (66) par le module d'identification 
d'abonne, celui-ci renvoie (87) au centre de service de messages un message 
ameliore contenant un code d'erreur specifique, permettant au centre de service de 
messages de savoir que ledit message ameliore qu'il a prec^demment dmis a 6t€ 
1 5 refuse pour un probleme de synchronisation de compteur. 

1 6 . Procede selon Tune quelconque des revendications 12 a 15, caracteris^ en ce que 
le corps (2) dudit message ameliore transmis par le centre de service de messages 4 la 
station mobile comprend egalement un troisieme champ (5) de stockage d'une premiere 
information de localisation de Templacement de stockage, dans lesdits moyens de 
JO memorisation de donnees du module d'identification d'abonne, de ladite valeur 

precedente du compteur de synchronisation, 

et en ce que ladite etape (85) de comparaison par le module d'identification 
d'abonne des valeurs courante et precedente du compteur de synchronisation est prfc6d6e 
des etapes suivantes : 

•5 - le module d'identification d'abonne lit (82) ladite premiere information de 

localisation contenue dans le troisieme champ dudit message ameliore ; 
le module d'identification d'abonne en deduit (83) l'emplacement de stockage de 
la valeur precedente du compteur de synchronisation ; 

le module d'identification d'abonne lit (84), audit emplacement de stockage, la 
0 valeur precedente du compteur de synchronisation. 
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1 7 . Procede selon Tune quelconque des revendications 12 a 16, caract6ris6 en ce que 
le corps (2) dudit message ameliore transmis par le centre de service de messages & la 
station mobile comprend egalement un quatrieme champ (6) de stockage d'un 
cryptogramme, dit cryptogramme transmis, calcule en utilisant au moins en partie le 
contenu du second champ (4) de stockage de la valeur courante du compteur de 
synchronisation, 

et en ce que ledit procede comprend egalement les etapes suivantes : 
le module d' identification d'abonne calcule (92) un cryptogramme local, en 
utilisant au moins en partie le contenu du second champ (4) dudit message 
ameliore ; 

le module d' identification d'abonne compare (93) ledit cryptogramme transmis et 
ledit cryptogramme local, de fa£on que ledit message amelior6 soit accept^ si les 
cryptogrammes transmis et local sont identiques, et refuse dans le cas contraire. 

18. Procede selon Tune quelconque des revendications 12 a 17, ledit module 
d' identification d'abonne stockant, dans lesdits moyens de memorisation de donn^es du 
module d' identification d'abonne, une fonction cryptographique et une cl6 associee 
specifiques a ladite application distante permettant de calculer ledit cryptogramme local, 

caracterise en ce que le corps dudit message ameliore transmis par le centre de 
service de messages h la station mobile comprend egalement un cinquifeme champ (5) de 
stockage d'une troisieme information de localisation de Templacement de stockage, dans 
lesdits moyens de memorisation de donnees, de ladite fonction cryptographique et de 
ladite cle associee, 

et en ce que ladite etape (92) de calcul par le module d* identification d'abonn6 
dudit cryptogramme local comprend les etapes suivantes : 

le module d'identification d'abonne lit (94) ladite troisidme information de 
localisation contenue dans le cinquieme champ (5) dudit message am61ior6 ; 
le module d'identification d'abonne en deduit (95) Templacement de stockage de 
ladite fonction cryptographique et de ladite cl€ associee ; 

le module d'identification d'abonne calcule (96) ledit cryptogramme local, en 
utilisant ladite fonction cryptographique, ladite cl€ associee et au moins une partie 
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du contenu du second champ (4) dudit message ameliore. 
19. Procede selon les revendications 16 et 18, lesdits moyens de memorisation de 
donnees du module d'identification d'abonne possedant une structure hierarchique k au 
moins trois niveaux et comprenant au moins les trois types de fichiers suivants : 

fichier maitre (MF), ou repertoire principal ; 

fichier specialise (DF), ou repertoire secondaire place sous ledit fichier maitre ; 
fichier elementaire (EF), place sous un desdits fichiers specialises, dit fichier 
specialise parent, ou directement sous ledit fichier maitre, dit fichier maitre parent, 
ledit procede etant caracterise en ce qu'un fichier Elementaire systdme (EF SMS 
System), propre a ladite application distante, contient une seconde information de 
localisation de Templacement de stockage, dans lesdits moyens de memorisation de 
donnees du module d' identification d'abonne, de ladite valeur precedente du compteur de 
synchronisation, de ladite fonction cryptographique et de ladite cle associee, 

en ce que ledit troisieme champ (5) constitue egalement ledit cinquifcme champ, 
ladite premiere information de localisation constituant egalement ladite troisifcme 
information de localisation, 

et en ce que ladite premiere information de localisation contenue dans ledit 
troisieme champ (5) de stockage est un identificateur d'un fichier specialise (DF) ou d'un 
fichier maitre (MF) auquel se rapporte ledit fichier elementaire systeme (EF SMS System) 
selon une strategie de recherche predeterminee dans les moyens de memorisation de 
donnees. 

2 0 . Procede selon Tune quelconque des revendications 12 a 19, caracterise en ce que 
le corps (2)dudit message ameliore transmis par le centre de service de messages k la 
station mobile comprend egalement un sixieme champ (7) de stockage d'un total de 
controle, dit total de controle transmis, dont le calcul implique au moins en partie le 
contenu du premier champ (3) de stockage des commandes distantes, 

et en ce que ledit procede comprend egalement les etapes suivantes : 
le module d'identification d'abonne calcule (72) un total de controle local, en 
utilisant au moins en partie le contenu du premier champ (3) dudit message 
ameliore ; 
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le module d' identification d'abonne compare (73) ledit total de controle transmis 
et ledit total de controle local, de fa9on que ledit message ameliore soit accept^ si 
les totaux de controle transmis et local sont identiques, et refus^ dans le cas 
contraire. 



1/4 



En-tete 



TP_UD 



2748880 



Monde exte>ieur 



E_Sync=0 



;e5 



=1: 



E_Sync=l 



SMS E_Sync=1 



SMS OK 



SMS-ld 




Champ 
systeme 


Certificat 
SMS 


Compteur 
de synchro. 


Commandes 


7 


5 


6 


4 


s — 1 

3 Fig. 1 



Fig. 2 



SIM 



S_Sync=0 



S_Sync=0 



E_Sync>S_Sync? 
oui => 



|.S||Syncg1:|-| 



Ex£cuter commandes 



Monde exte>ieur 



E_Sync=l 



:ES! 



=3; 



E_Sync=3 



E_Sync=3 



SMS E_Sync=3 



SMS E_Sync=3 



SMS OK 



SIM 



S_Sync=1 



I S_Sync=1 
^ Pas de rgponse 
| S_Sync=1 



E_Sync>S_Sync? 
oui => 



iV;|^^pc|=3j| 



Ex6cuter commandes 



Fig. 3 



2/4 



2748880 



Monde ext^rieur 



E_Sync=0 



11 



E_Sync=1 



:E^Sync=2> 



E_Sync=Z 



;;E^Syfic==6.: 



E_Sync=6 



SIM 



S_Sync=5 



SMS E_Sync=1 



Erreur 



SMS E_Sync=2 



S_Sync=5 



E_Sync>S_Sync? 
non => 



S_Sync=5 



S_Sync=5 



E_Sync>S_Sync? 
non => 



Erreur 



S_Sync=5 



SMS E_Sync=6 



S_Sync=5 



E_Sync>S_Sync? 
oui => 



SMS OK 



{Si_Sync=?6l:i 



ExScuter commandes 



Fig. 4 



1 6 octets avec 
la valeur OOh 



K appli 



B 1 

(16 octets) 

\ 

-0 



h 



B 2 
(16 octets) 

* 



(16 octets) 



A3 A8 



0 



(1 6 octets) 



ln-1 



R 2 



A3 A8 



I 2 



(16 octets) 




B'n 
(16 octets) 

w Rn 
A3 A8 | 



In 

(1 6 octets) 



□ 



(J) OU-exclusif 



SMS_Cert 

(4 octets) 



Fig. 5 



BNSDOCID: <FR 2748880A1 _t_> 



3/4 



2748880 



61 



62- 



es- 



se- 



68- 



Transmission 
message 



611 



Verification 
total de contrdle 




Verification 
compteur de synchro 




Mise & jour du 
compt eur du SIM 

I 



Verification 
cryptogramme 



Correct ? 
610 .i out 



Execution des 
commandes dist. 




FIN 




V— 62. 



63 








FIN 



Fig. 6 



Fig. 7 



BNSDOCID: <FR 2 748880 A1 _L> 




BNSDOCID: <FR 2748880A1_I_> 



REPUBLIQUE FRAN^AI 



INSTITUT NATIONAL 
de la 

PROPRIETE INDUSTRIELLE 



RAPPORT DE RECHERCHE 
PRELIMINAIRE 



etabli sur la base des dernieres revendications 
deposees avant le commencement de la recherche 



2748880 

N° d'enregistrement 
national 

FA 530703 
FR 9608906 



DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorie 



Citation du document avec indication, en cas de besoin, 
des parties pertinentes 



EP 0 689 368 A (PTT GENERA LDIREKTION) 27 
Decembre 1995 



* colonne 

* colonne 

* colonne 

* colonne 

* colonne 
54 * 

* colonne 

* colonne 
46 * 



3, 
4, 
5, 
5, 
8, 

10, 
12, 



gne 
gne 
gne 
gne 
1 igne 

1 igne 
1 igne 



29 - ligne 35 * 
1 - ligne 15 * 
7 - ligne 27 * 

32 - ligne 35 * 

33 - colonne 9, 



1 igne 



26 - ligne 58 * 

3 - colonne 13, ligne 



US 5 517 187 A (BRUWER FREDERICK J ET AL) 
14 Mai 1996 

* colonne 3, ligne 9 - ligne 50 * 

* colonne 3, ligne 64 - colonne 4, ligne 
24 * 

* colonne 4, ligne 34 - ligne 48 * 

* colonne 8, ligne 7 - ligne 10 * 

* colonne 9, ligne 21 - ligne 27 * 

* colonne 10, ligne 14 - ligne 20 * 

EP 0 644 513 A (AT & T CORP) 22 Mars 1995 

* colonne 5, ligne 40 - colonne 6, ligne 5 

* colonne 6, ligne 51 - colonne 9, ligne 
14 * 

* revendications 1,3,7,11 * 

EP 0 562 890 A (HUTCHISON MICR0TEL 
LIMITED) 29 Septembre 1993 

* page 4, ligne 30 - page 5, ligne 32 * 

* page 6, ligne 10 - ligne 45 * 



■/•• 



Revendications 
concern ees 
de la deraande 
examinee 



1,4,7, 
10, 

12-14, 
17,20 



1,12-14 



1,12 



1,12 



DOMAIN ES TECHNIQUES 
RECHERCHES (Iat.CL.6) 



HG4Q 
H04L 



Dale factevem* de la r 

14 Fevrier 1997 



Gerling, J.C.J. 



CATEGORIE DES DOCUMENTS CITES 

X : particuliereraent pertinent a lui seul 

Y : particuliereraent pertinent en corn binai son avec tin 

autre document de la mesne categorie 
A : pertinent a I' en centre d'au raoins une revendt cation 

ou arri ere- plan technologique general 
O : divulgation non-ecrite 
P : document inter cat aire 



T : theorie ou principe a la base de Kin vent ion 

E : document de brevet beneficiant d'une date anterieure 

a la date de depAt et qui n'a ete public qir*a cette date 

de depot ou qu a une date posterieure. 
D : cite dans la demande 
L : cite pour d'autres raisons 

A : membre de la meme famille, document correspondaat 



page 1 de 2 

BNSDOCID: <FR 2748880A1 _l_> 



REPUBLIQUE FRANCAI 



# 



INSTITUT NATIONAL 
de la 

PROPRIETE INDUSTRIELLE 



RAPPORT DE RECHERCHE 
PRELIMINAIRE 



etafati sur la base des dernieres revendications 
deposees avant le commencement de la recherche 



2748880 

N° € enregistreraent 
national 

FA 530703 
FR 9608906 



Categorie 



DOCUMENTS CONSIDERES COMME PERTINENTS 



Citation du document avec indication, en cas de besoin, 
des parties pertinerrtes 



Revendications 
concern ees 
de la deniande 
examinee 



WO 94 30023 A (CELLTRACE COMMUNICATIONS 
LIMIT ;MICHAELS WAYNE DAVID (GB) ; TIMSON) 
22 Decembre 1994 



DO MAIN ES TECHNIQUES 
RECHERCHES (Iat.CL.6) 



Date d'acarvemeal de la reckercae 

14 Fevrier 1997 



Gerling, J.C.J. 



CATEGORIC DCS DOCUMENTS CITES 

X : particulierement pertinent a lui seul 

Y : parti cult erement pertinent en corobinaison avec un 

autre document de la meme categorie 
A : pertinent a 1' en con t re d'au moins une revendication 

ou am ere- plan technologique general 
O : divulgation non-ecrite 
P : document intercalaire 



theorie ou prineipe a la base de I'invcntion 
document de brevet beneficiant d'une date mnteriettre 
a la date de depot et qui n'a ete public qir*a cette date 
de depot ou qir a une date poster ieure. 
: cite dans la deniande 
cite pour d'autres raisons 



: membre de la meme rami lie, document correspondant 



page 2 de 2 



BNSDOCID: <FR 2748880A1_I_> 



Tl «S PAGE Bum 



K (USPTO) 



